IDC Frontier Inc. All rights reserved.

未来をささえる、Your Innovative Partner

IDCフロンティアとVyatta

株式会社IDCフロンテゖゕ

プラットフォームサービス部

佐久間 充

IDC Frontier Inc. All rights reserved. 1

自己紹介

• 佐久間 充

• IDCフロンテゖゕにてクラウドのネットワークを主に担当しています。

• Vyattaはじめ仮想NWゕプラゕンスの問い合わせに日々奔走。

• 有償の仮想NWゕプラゕンスの導入に苦労しております。

IDC Frontier Inc. All rights reserved. 2

社内でのVyattaの位置づけ

• 無償テンプレートにて提供！

• ということもあり、基本サポートはなし。

• ただご安心ください！

• 裏ではしっかり調べてますので！！！

その結果、ご満足のいく回答で なかったとしても、ご容赦ください。。

IDC Frontier Inc. All rights reserved. 3

仮想ルータ（Vyatta）の魅力

• 無料版がある！

• 自分でいろいろ試せる！

– Vyatta同士だけでなく 他機種とのVPN接続も

• 何でもできる！・・・ような気がする。

–コミュニテゖも非常に活発な印象

コゕなお問い合わせも多数

弊社としても 検証実績あり！

取っつきやすい

SSG550M YAMAHA RTX1200 Cisco7301 / Cisco RVS4000など

IDC Frontier Inc. All rights reserved. 4

仮想ルータ（Vyatta）の魅力

• 無料版がある！

• 自分でいろいろ試せる！

– Vyatta同士だけでなく 他機種とのVPN接続も

• 何でもできる！・・・ような気がする。

–コミュニテゖも非常に活発な印象

コゕなお問い合わせも多数

弊社としても 検証実績あり！

取っつきやすい ただ、提供側としては サポートが大変・・・

SSG550M YAMAHA RTX1200 Cisco7301 / Cisco RVS4000など

IDC Frontier Inc. All rights reserved. 5

あるお客様からのお問い合わせ（例）

「VPNしてプラベート網作っても、

ネットワークを追加するたびに

設定を変えなきゃいけないのは

面倒なんですけど・・・」

IDC Frontier Inc. All rights reserved. 6

あるお客様からのお問い合わせ（例）

Vyatta A

Vyatta B

192.168.1.0/24

192.168.2.0/24

IPsec VPN

tunnel 1 { local { subnet 192.168.1.0/24 } remote { subnet 192.168.2.0/24 } }

tunnel 2 { local { subnet 192.168.1.0/24 } remote { subnet 192.168.3.0/24 } }

tunnel 3 { local { subnet 192.168.1.0/24 } remote { subnet 192.168.4.0/24 } }

192.168.3.0/24

192.168.4.0/24

IDC Frontier Inc. All rights reserved. 7

あるお客様からのお問い合わせ（例）

Vyatta A

Vyatta B

192.168.1.0/24

192.168.2.0/24

IPsec VPN

tunnel 1 { local { subnet 192.168.1.0/24 } remote { subnet 192.168.2.0/24 } }

tunnel 2 { local { subnet 192.168.1.0/24 } remote { subnet 192.168.3.0/24 } }

tunnel 3 { local { subnet 192.168.1.0/24 } remote { subnet 192.168.4.0/24 } }

192.168.3.0/24

192.168.4.0/24

面倒だなぁ・・・。

IDC Frontier Inc. All rights reserved. 8

あるお客様からのお問い合わせ（例）

Vyatta A

Vyatta B

192.168.1.0/24

192.168.2.0/24

IPsec VPN

tunnel 1 { local { subnet 192.168.1.0/24 } remote { subnet 192.168.2.0/24 } }

tunnel 2 { local { subnet 192.168.1.0/24 } remote { subnet 192.168.3.0/24 } }

tunnel 3 { local { subnet 192.168.1.0/24 } remote { subnet 192.168.4.0/24 } }

192.168.3.0/24

192.168.4.0/24

面倒だなぁ・・・。

192.168.2.0/22

tunnel 1 { local { subnet 192.168.1.0/24 } remote { subnet 192.168.2.0/22 } }

IDC Frontier Inc. All rights reserved. 9

先ほどの問い合わせに対して

もっとスマートな解決法ないだろうか・・・

本当に出来るの？ VPN上で？ どうやって？

ということでやってみました。

BGP/OSPFを張って動的に経路広報 させてやれば出来るような気が・・・

IDC Frontier Inc. All rights reserved. 10

BGP/OSPF Over GRE Over IPsec

IPsec VPN GRE (tun3)

Vyatta（セルフ） 1.1.1.1

Vyatta（マネージド） 2.2.2.2

Vyatta（自宅） 3.3.3.3

192.168.1.0/24

192.168.2.0/24 192.168.3.0/24 192.168.103.0/24

AS:64522

AS:64511

AS:64533

IDC Frontier Inc. All rights reserved. 11

やり方

① IPsec VPN を張ります

② GREトンネルを作ります

③ BGP / OSPFを流します

④ 以上 実に簡単！

IDC Frontier Inc. All rights reserved. 12

Config - ① IPsec VPN

peer 2.2.2.2 { authentication { id @self-managed mode pre-shared-secret pre-shared-secret my_shared_secret remote-id @managed-self } connection-type initiate default-esp-group ESP ike-group IKE local-ip 10.1.11.1 tunnel 1 { local { subnet 10.1.11.0/24 } remote { subnet 172.24.22.0/24 } } }

peer 3.3.3.3 { authentication { id @self-home mode pre-shared-secret pre-shared-secret my_shared_secret remote-id @home-self } default-esp-group ESP ike-group IKE local-ip 10.1.11.1 tunnel 1 { local { subnet 10.1.11.0/24 } remote { subnet 192.168.33.0/24 } } } このあたりは『VPN 手順書』で検索して出てくる

IDCフロンテゖゕの手順書で！

IDC Frontier Inc. All rights reserved. 13

Config - ② GRE

interfaces {

tunnel tun1 {

address 192.168.100.1/24

encapsulation gre

ip {

ospf {

cost 20

dead-interval 40

hello-interval 10

priority 1

retransmit-interval 5

transmit-delay 1

}

local-ip 10.1.11.1

multicast enable

remote-ip 172.24.22.1

}

}

interfaces {

tunnel tun2 {

address 192.168.103.1/24

encapsulation gre

local-ip 10.1.11.1

multicast enable

remote-ip 192.168.33.1

}

}

※ デフォルトでMTUは 1472に設定されます

IDC Frontier Inc. All rights reserved. 14

Config - ② GRE

interfaces {

tunnel tun1 {

address 192.168.100.1/24

encapsulation gre

ip {

ospf {

cost 20

dead-interval 40

hello-interval 10

priority 1

retransmit-interval 5

transmit-delay 1

}

local-ip 10.1.11.1

multicast enable

remote-ip 172.24.22.1

}

}

interfaces {

tunnel tun2 {

address 192.168.103.1/24

encapsulation gre

local-ip 10.1.11.1

multicast enable

remote-ip 192.168.33.1

}

}

※ デフォルトでMTUは 1472に設定されます

OSPFに関する設定 デフォルトでコストは20、切り替わり時間は40s

基本的にはこれでGREトンネルはOK

IDC Frontier Inc. All rights reserved. 15

ospf {

area 0.0.0.0 {

network 192.168.101.0/24

network 192.168.102.0/24

}

parameters {

abr-type cisco

router-id 1.1.1.1

}

redistribute {

connected {

metric-type 2

}

}

}

Config - ③ eBGP / OSPF

bgp 64515 {

neighbor 192.168.101.2 {

password password

remote-as 64516

soft-reconfiguration {

inbound

}

}

・・・（中略）・・・

network 192.168.1.0/24 {

}

timers {

holdtime 6

keepalive 2

}

}

IDC Frontier Inc. All rights reserved. 16

ospf {

area 0.0.0.0 {

network 192.168.101.0/24

network 192.168.102.0/24

}

parameters {

abr-type cisco

router-id 1.1.1.1

}

redistribute {

connected {

metric-type 2

}

}

}

Config - ③ eBGP / OSPF

bgp 64515 {

neighbor 192.168.101.2 {

password password

remote-as 64516

soft-reconfiguration {

inbound

}

}

・・・（中略）・・・

network 192.168.1.0/24 {

}

timers {

holdtime 6

keepalive 2

}

}

AS間のネゴシエーション

BGPで広報したいネットワーク

BGPの切り替わり時間

※ デフォルト180秒、今回は6秒に設定

IDC Frontier Inc. All rights reserved. 17

ospf {

area 0.0.0.0 {

network 192.168.101.0/24

network 192.168.102.0/24

}

parameters {

abr-type cisco

router-id 1.1.1.1

}

redistribute {

connected {

metric-type 2

}

}

}

Config - ③ eBGP / OSPF

bgp 64515 {

neighbor 192.168.100.2 {

password password

remote-as 64516

soft-reconfiguration {

inbound

}

}

・・・（中略）・・・

network 192.168.10.0/24 {

}

timers {

holdtime 6

keepalive 2

}

}

OSPFでネゴシエーション するネットワーク

各種パラメータ設定

ABRはデフォルトでCisco ※ standardやIBMなども設定可能

IDC Frontier Inc. All rights reserved. 18

軽くデモ

• ちゃんと切り替わるの？

• 経路追加したときにちゃんと広報するの？

IDC Frontier Inc. All rights reserved. 19

唯一、非NAT環境だから？ はまったところ

• 他社クラウド環境も使ってスクエゕ・フルメッシュ構成にしようとしたが、失敗。

⇒ VPNは一応UPするけど怪しいし、OSPFもすぐに切れる ⇒ MTUのせい？と思ってMTUを1200で統一するもダメ…。

IPse

c V

PN

IPsec VPN GRE (tun3)

Vyatta（セルフ） 1.1.1.1

Vyatta（マネージド）

2.2.2.2

Vyatta（自宅）

3.3.3.3

192.168.1.0/24

192.168.2.0/24 192.168.3.0/24 192.168.103.0/24

AS:64522

AS:64511

AS:64533

Vyatta

192.168.3.0/24

AS:64544

IDC Frontier Inc. All rights reserved. 20

はまったところ

• BGPのHold Timeがデフォルトで180sなので、そこを 変えずに切り替え時に通信が長時間途切れてあたふた

• 6.4と6.6を混ぜた状態で当初は構築したところ、 OSPFがネゴシエーション確立しない

⇒ 6.5以降にはMTU制限が効かなくなるというのが あるらしく、これが原因？ ⇒ 結局よくわからず6.4にて構築し直し…。

• ンストールせずに構築し、忘れて再起動…。

⇒ 何度繰り返したことか…

などなど、設定としては非常に簡単だが、 実際にやってみると意外に苦労しました…。

“http://d.hatena.ne.jp/mikeda/20121217/1355762337”など

IDC Frontier Inc. All rights reserved. 21

ここまでやってみて・・・

• せっかく作ったこの環境、 「作ってみました、どうでしょう！」で 終わらせるのはもったいない…。

• 家にあるストレージにIDCFセルフクラウドから

ンターネット越しにiSCSI接続して

ベンチマークでもしてみよう！

IDC Frontier Inc. All rights reserved. 22

構成

IPsec VPN GRE (tun3)

Vyatta（セルフ）

1.1.1.1

Vyatta（マネージド） 2.2.2.2

Vyatta（自宅） 3.3.3.3

192.168.103.0/24

AS:64522

AS:64511

AS:64533

IDC Frontier Inc. All rights reserved. 23

結果（bonnie++）

Sequential Output Sequential Input Random Per Char Block Rewrite Per Char Block Seeks K/sec %CPU K/sec %CPU K/sec %CPU K/sec %CPU K/sec %CPU /sec %CPU

299 70 3131 0 1331 0 2105 45 2880 0 190.8 3 2383ms 7326ms 3177ms 58073us 414ms 509ms

1GBのフゔルに対して読み書き

Sequential Output Sequential Input Random Per Char Block Rewrite Per Char Block Seeks K/sec %CPU K/sec %CPU K/sec %CPU K/sec %CPU K/sec %CPU /sec %CPU

451 92 9185 3 5416 2 2350 92 13824 3 267.7 18 289ms 5650ms 1221ms 40446us 66107us 160ms

Read : 2.9MB/s, Write : 3.1MB/s

Read : 13.8MB/s, Write : 9.2MB/s

VPN経由ゕクセス

LAN内ゕクセス

IDC Frontier Inc. All rights reserved. 24

接続中に切り替わっても問題ない？

• dd if=/dev/zero of=file count=4096 bs=1024k

• 4Gフゔルを生成中にtun2をdisableにして経路切り替え

ネットワーク使用量が多すぎて 一体何してるんですかと

注意されてしまいましたが・・・

問題なく動作

ただ、切り替えが遅かったらだめかも

IDC Frontier Inc. All rights reserved. 25

これからやってみたい事

• BGPやってみたけど、この構成だとあまり意味が無い？

• もっとたくさんのVyatta間でこの構成を

大きくしていったら面白いことになるかも！？

繋げてもいいよ！という方を募集！？

（当初の計画が10台のVyattaを構築して

複雑な構成で試す予定だったのは秘密）

IDC Frontier Inc. All rights reserved. 26

これからやってみたい事

• BGPやってみたけど、この構成だとあまり意味が無い？

• もっとたくさんのVyatta間でこの構成を

大きくしていったら面白いことになるかも！？

繋げてもいいよ！という方を募集！？

（当初の計画が10台のVyattaを構築して

複雑な構成で試す予定だったのは秘密）

http://www.idcf.jp/blog/

続きはブログで？

IDC Frontier Inc. All rights reserved. 27

事業者から見たVyattaの魅力と今後

• 無料なので新規サービスに使いやすい！

• いろんな構成が試せて、大規模な機能検証も

可能！ その代り、VyattaのみでのNW構築は向かない （そもそもサーバに48portも普通はのせない）

安定性よりは機能性！ （ MPLS, BFD, VxLAN, TRILL・・・）

※ Ciscoなどの物理SWは安定性が最重要だけれど

IDC Frontier Inc. All rights reserved. 28

まとめ

• Vyatta使ってこんなことやってみました！

– BGP/OSPF over GRE over IPsec VPN with Vyatta

– iSCSIベンチマーク

IDC Frontier Inc. All rights reserved. 29

未来をささえる、Your Innovative Partner